第1章 OpenShift Container Platform のセキュリティーおよびコンプライアンス

1.1. セキュリティーの概要

OpenShift Container Platform クラスターの各種の側面を適切に保護する方法を理解することが重要です。

コンテナーのセキュリティー

OpenShift Container Platform セキュリティーを理解するのに適した点として、「コンテナーセキュリティー について」を参照してください。以下のセクションでは、OpenShift Container Platform で利用可能なコンテナーのセキュリティー対策についての概要を説明します。これには、ホスト層、コンテナーとオーケストレーション層、およびビルドおよびアプリケーション層のソリューションが含まれます。これらのセクションには、以下のトピックに関する情報も含まれます。

  • コンテナーのセキュリティーが重要である理由、および既存のセキュリティー標準との違い。
  • ホスト (RHCOS および RHEL) 層で提供されるコンテナーのセキュリティー対策と OpenShift Container Platform で提供されるコンテナーのセキュリティー対策。
  • 脆弱性についてコンテナーのコンテンツとソースを評価する方法。
  • コンテナーのコンテンツをプロアクティブに検査できるようにビルドおよびデプロイメントプロセスを設計する方法。
  • 認証および認可によってコンテナーへのアクセスを制御する方法。
  • OpenShift Container Platform でネットワークと割り当て済みストレージのセキュリティーを保護する方法。
  • API 管理および SSO のコンテナー化ソリューション。

監査

OpenShift Container Platform の監査では、個別のユーザー、管理者、またはその他のシステムのコンポーネントの影響を受ける一連のアクティビティーを文書化するセキュリティー関連の時系列のレコードを提供します。管理者は、監査ログポリシーを設定し、 監査ログの表示を行うことができます

証明書

証明書は、クラスターへのアクセスを検証するために各種のコンポーネントによって使用されます。管理者は、デフォルトの Ingress 証明書を置き換え、API サーバー証明書 の追加、 またはサービス証明書の追加を行うことができます

クラスターで使用される証明書の種類についての詳細を確認することもできます。

データの暗号化

クラスターの etcd 暗号化を有効にして、データセキュリティーの層を追加で提供できます。たとえば、etcd バックアップが正しくない公開先に公開される場合に機密データが失われないように保護することができます。

脆弱性スキャン

管理者は、Container Security Operator(CSO)を使用して 脆弱性スキャンを実行し、検出された脆弱性についての 情報を確認できます。